ANRE: 1000 de utilizatori cu date personale expuse – Vulnerabilitate, nu atac cibernetic

byTudor Dumitrescu
septembrie 1, 2025
datele-personale-a-o-mie-de-utilizatori-ai-comparatorului-anre-au-fost-expuse-din-cauza-unei-vulnerabilitati.-nu-a-fost-atac-cibernetic datele-personale-a-o-mie-de-utilizatori-ai-comparatorului-anre-au-fost-expuse-din-cauza-unei-vulnerabilitati.-nu-a-fost-atac-cibernetic
Datele personale a o mie de utilizatori ai comparatorului ANRE au fost expuse din cauza unei vulnerabilități. Nu a fost atac cibernetic

O vulnerabilitate a sistemului online național de schimb de furnizori de energie (POSF) a expus datele personale ale aproximativ o mie de utilizatori. Informația a fost obținută de către un mediu de informații.

Autoritatea națională de reglementare în domeniul energiei (ANRE) a confirmat un incident pe platforma POSF, respectiv compartimentul de comparație a oferte, în urma unor speculații apărute pe internet în legătură cu o posibilă furt de date ale a 13 milioane de români.

Conform primelor informații, incidentul a afectat datele a 1000 de persoane.

Advertisement

Potrivit surselor de la ANRE:

  1. Incidentul nu a fost un atac cibernetic. O eroare tehnică, apărută în timpul unor lucrări de întreținere efectuate de un subcontractor, a permis accesul neautorizat la date.
  2. Lucrările de întreținere care au dus la vulnerabilitate nu au fost efectuate de ANRE, ci de un subcontractor responsabil cu dezvoltarea platformei.
  3. Nu există indicii care să sugereze intenții frauduloase, vulnerabilitatea fiind imediat raportată ANRE. Complexitatea tehnică a accesului neautorizat sugerează un incident limitat.
  4. Nu există dovezi că datele expuse ar fi fost utilizate în scopuri frauduloase.
  5. Vulnerabilitatea a fost remediată într-o oră de la descoperire.

id=”chapter-0″>Care date au fost expuse

În urma lucrărilor de mentenanță realizate de subcontractor pe platforma POSF, anumite componente ale sistemului au fost accesibile fără autentificare într-o perioadă cuprinsă între luna mai 2024 – august 2025, ceea ce a permis accesul neautorizat la date personale. Vulnerabilitatea a fost corectată pe 6 august 2025 prin restricționarea accesului la componentele afectate.

Datele posibil expuse includ: nume, prenume; cod numeric personal; adresă de domiciliu; adresă de corespondență; date de identificare persoane; și număr de telefon.

Numărul exact de persoane afectate nu este încă cunoscut. ANRE continuă să obțină informații de la subcontractor pentru o evaluare completă a impactului.

id=”chapter-1″>Măsuri luate de ANRE

ANRE a luat o serie de măsuri, printre care:

  • dezactivarea generării automate a API-urilor neautentificate
  • izolarea și restricționarea componentelor vulnerabile
  • implementarea remedierilor de securitate
  • audit complet al codului și infrastructurii
  • implementarea testelor automate de penetrare
  • instruirea echipei tehnice în practici de securitate
  • planificarea auditurilor periodice

Totodată, au fost inițiate investigații administrative și proceduri de clarificare cu privire la răspunderea subcontractorului, în cazul apariției de prejudicii.

ANRE a notificat Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) și a solicitat sprijinul altor instituții relevante.

ANRE a transmis un comunicat oficial solicitând corectarea percepțiilor alarmiste din spațiul public, menționând faptul că protejarea datelor cu caracter personal este prioritară. Instituția va menține o atitudine prudentă și va furniza informații suplimentare pe măsură ce investigația avansează.

byTudor Dumitrescu
Published
Add a comment

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Fiți la curent cu cele mai importante știri

Apăsând butonul Abonare, confirmați că ați citit și sunteți de acord cu Politica noastră de confidențialitate și Termenii de utilizare
Advertisement

Read more